Hacking Lab 

Die diesjährige European Cyber Security Challenge ist geschlagen.
Trotz eines nicht unerheblichen Rückstands auf das sehr starke Deutsche Team im technischen Teil, konnte sich das Team Austria durch eine überzeugende Präsentation erfolgreich durchsetzen!

Österreich gewinnt auch die Zweite European Cyber SecurityChallenge und setzt sich gegen sehr starke Teams aus den Ländern Deutschland, Schweiz, Rumänien, Spanien und Großbritannien durch.

Zu den Neuheiten gehörten unter anderem ein auf Attack/Defense basierendes CTF Framework gestaltet durch das Hacking-Lab.

Die gesamte Challenge war dabei auf die Verteidigung einer virtuelle Firma mit einem realistischen Szenario aufgebaut Die Teams mussten dabei richtig auf Angriffe durch die anderen Teams auf Ihre Infrastruktur reagieren. Dabei mussten parallel zum Schutz der eigenen Infrastrukturen Aufgaben erledigt werden (jeopardy-style) - die Analyse von Datenströmen, korrekte Öffentlichkeitsarbeit und zusätzlich der permanente Angriff gegen die anderen Teams sicher gestellt werden (siehe auch https://www.youtube.com/watch?v=-zi4y211ZNo).

Der Team-Bericht unserer Finalisten:

Das Szenario:

Ausgangslage:
4 gänzlich unbekannte Services, deployed auf einem virtualisiertem DEV und einem PROD System
Keine Möglichkeit auf die PROD oder die virtuellen Maschinen auf DEV zuzugreifen
Lediglich die Zugangsdaten für das ESXI Management Interface des DEV-Systems

Die Taktik der Österreicher:
Da wir den Vorgang des "Rootings" von VMS bereits im Vorfeld ausreichend geübt hatten, entschieden wir uns das Restrisiko (eines Punkteverlustes durch Downtime, kaputtes Services und co) in Kauf zu nehmen und alle vier virtuellen Maschinen so schnell wie möglich zu rooten, um später sinnvoll auf Logs, Traffic und co zugreifen zu können. Durch diesen Vorteil des Vollzugriffes konnten wir bereits in den ersten Minuten erfolgreiche Angriffe starten, allerdings konnten wir diese Angriffe nicht so erfolgreich fortführen wie zu Beginn da nach kurzer Zeit aufgrund (der sehr komplexen Infrastruktur geschuldet) das Scoring für die Offense zeitweise zurückgefahren wurde. Aufgrund dessen haben wir uns entschlossen den Fokus auf Sidechallenges und Code-Patching zu richten.

Die Applikationen:
Für Attack und Defence mussten wir 4 verschiedene Webapplikationen auf Sicherheitslücken untersuchen und gefundene bei unserer Gegner exploiten. Beispiele für gefundene Lücken sind No-SQL-Injection, Privilege Escalation, XSLT-Injection, SAML-Authenthication-Bypass und einige andere. Bei den Jeopardy-Challenge war das Ziel verschlüsselten Malware-Traffic zu analysieren oder eine Session zu Brute-Forcen um ein Modell-Auto fernzusteuern.

Die acht Scoringkategorien:
Code-Patching: Hierbei gab es Punkte für die korrekte Behebung von Sicherheitslücken.
Availability: In regelmäßigen Abständen wurden durch den "ScoringBot" alle Services auf deren Verfügbarkeit und Funktion überprüft.
Attack: Hat man erfolgreich ein "GoldNugget" der anderen Teams gestohlen, so konnte man dieses einreichen und hat entsprechend Punkte bekommen.
Defense: Diese Punkte gab es zu erreichen für das erfolgreiche Schützen des "GoldNuggets"
Pown: Hat man die Kontrolle über einen gesammten virtuellen Server eines anderen Teams übernommen, so konnte man dort einen Beweis platzieren, dass man dort war.
Jeopardy: Die oben erwähnten Sidechallenges, wie das Reversen einer QTApplikation und das Analysieren von bereitgestellten PCAP-Files.
Achievments: Es gab verschiedene Ziele zu erreichen, unter anderem die Erstellung einer Plattform für "Pressreleases" und die Kommunikation mit der Unternehmensleitung.
Presentation: In dieses Kategorie floss die Qualität der Präsentation und der "Pressreleases" ein.

Wir gratulieren dem Team AUSTRIA zum Gewinn der European Cyber SecurityChallenge Und wir möchten uns nochmal bei allen von Euch die uns im Vorfeld so toll unterstützt haben recht herzlich bedanken !!!

 

European Cyber Security Challenge 2015 from IKARUS on Vimeo.

 

 

European Cyber Security Callenge 2015 in der Schweiz - die Spannung steigt! Teams aus Rumänien, England, Deutschland, Spanien, Österreich und der Schweiz scharren in den Startlöchern.

http://www.europeancybersecuritychallenge.eu/

 

 

 

WIR GRATULIEREN DEN SIEGERN

Zehn Talente auf ihrem Weg gegen Europas Cyber-Sicherheitselite Österreichs Team für die European Cyber Security Challenge steht fest.

Nach einem langen und fordernden Samstag steht das Team Österreich für die European Cyber Security Challenge 2015 fest. Insgesamt 20 junge IT-Sicherheitstalente traten in zwei Altersklassen in insgesamt vier Teams gegeneinander an.

Beim heurigen Bewerb mussten 14 Aufgaben gelöst werden. Je nach Schwierigkeitsgrad stand den Teilnehmern zur Lösung nur eine festgelegte Zeit zur Verfügung. Je schwerer die Aufgabe zu bewältigen war, desto mehr Punkte waren zu erringen. Dabei mussten jede Menge Sicherheitslücken gefunden, verschlüsselte Inhalte lesbar gemacht, Firewalls umgangen und Rootkits analysiert und werden.

Im Anschluss musste eine ausgesuchte Problemlösung vor einer Jury präsentiert werden. Im Hinblick auf den europäischen Bewerb wurde heuer bereits in englischer Sprache präsentiert. Dabei stellten die Teilnehmer dar, wie sie die Challenge gelöst haben und wie sie diese Sicherheitslücken schließen und damit einen Angriff abwehren würden. Aus der Punktezahl des Onlinebewerbs und den Bewertungen der Jury ergaben sich letztendlich eine Gesamtpunktezahl und damit das Siegerteam.

Die heurigen Siegerteams und damit das Team Österreich bestehen aus einer Wienerin und einem Wiener, fünf Niederösterreichern, und je einem Burgenländer, einem Oberösterreicher und einem Steirer.

Die Sieger werden Österreich bei der heuer zum zweiten Mal stattfindenden European Cyber Security Challenge vertreten. Im Vorjahr konnte unser Team den ersten Platz gegen die Schweiz und Deutschland erringen. Heuer nehmen bereits sechs Nationen an dem Bewerb vom 19. bis 22. Oktober 2015 in der Schweiz teil.

Austria Cyber Security Challenge Trailer:

 

 

Die Schweizer Meister unter den Jung-Hackern stehen fest

Für die besten 17 junge Cyber Talente galt es vergangenes Wochenende ernst: Am Schweizer Finale der European Cyber Security Challenge 2015 in Sursee traten sie in unterschiedlichen Disziplinen zum Thema IT-Sicherheit gegeneinander an. Aus dem Wettkampf resultierte ein Team mit den 10 besten Jung-Hackern der Schweiz. Diese bilden die Nationale Delegation für die European Cyber Security Challenge, an der Teams aus sechs europäischen Ländern teilnehmen.

Bern, 14. September 2015 – Vom vergangenen Freitag bis gestern Sonntag fanden sich im Campus Sursee 17 junge Hacker ein, um in gesicherte Computersysteme einzudringen. Was wie eine Szene aus einem Film klingt, war das Schweizer Finale der diesjährigen Cyber Security Challenge. Bei den Schülern und Studenten handelt es sich nicht etwa um Kriminelle, sondern um die besten Nachwuchstalente im Bereich IT-Sicherheit.

Der Weg ins internationale Finale
In kleinen Teams mussten die jungen Hacker unter Zeitdruck Sicherheitslücken in Webanwendungen finden, verschlüsselte Dokumente knacken oder sich Zugang zu einem geschützten System ergattern. Doch nicht nur das technische Geschick wurde bewertet: In die Gesamtbeurteilung flossen auch Soft Skills wie Teamfähigkeit oder Präsentationsstil ein. «Es reicht nicht, ein Sicherheitsproblem nur zu finden. Eine Lösung im Team zu erarbeiten und nach aussen kommunizieren zu können ist für einen ‹guten Hacker› genauso wichtig», erklärt Ivan Bütler, Jurymitglied und Inhaber einer IT-Sicherheitsfirma.

So besteht das Gewinnerteam nicht nur aus den besten Technik-Cracks, sondern auch aus Teilnehmern mit der besten Sozialkompetenz. Diese zehn Jungtalente bilden die Schweizer Delegation für das Europäische Finale, welches am 21. Oktober im KKL Luzern stattfinden wird. Dort gilt es für die Jugendlichen, ihre Fähigkeiten gegen Teams aus Deutschland, Österreich, England, Spanien und Rumänien unter Beweis zu stellen.

Hacking – das etwas andere Hobby
Voraussetzung für die Teilnahme ist, noch keine abgeschlossene höhere Ausbildung im Bereich Informatik zu haben. Ihre Kenntnisse haben sich die Teilnehmer somit grösstenteils in Ihrer Freizeit angeeignet. «Die Informatiklehre bot mir zwar eine gute Basis. Fundierte Kenntnisse im Bereich IT-Sicherheit benötigen aber viel zusätzliches Engagement. Noch heute investiere ich einen grossen Teil meiner Freizeit ins Selbststudium», erzählt der 23-jährige Finalist Christian Rybovic, der sich gerade mit einem Onlineshop selbstständig macht.
 
Hacking als Freizeitbeschäftigung ist auf dem Vormarsch: «Als wir vor drei Jahren den ersten Wettbewerb durchführten, hatten wir Mühe, genügend Teilnehmer zu finden. Dieses Jahr meldeten sich über 200 Personen für die Online-Qualifikation an», erläutert Bernhard Tellenbach, Präsident des durchführenden Vereins Swiss Cyber Storm.

Von diesem Trend profitieren auch Unternehmen und die öffentliche Hand: Die Jung-Hacker eignen sich mit ihrem Hobby nebenbei Fähigkeiten an, die auf dem Arbeitsmarkt stark gefragt sind. «Mit zunehmender Digitalisierung werden Aspekte der Informatiksicherheit immer wichtiger. Organisationen sind auf Fachkräfte angewiesen, die mit den Methoden krimineller Hacker vertraut sind. Nur so können Systeme zuverlässig abgesichert und Angriffe abgewehrt werden», erklärt Tellenbach. Dies erklärt den Erfolg der Cyber Security Challenge, die in diesem Jahr durch den Bund und namhafte Firmen unterstützt wird.
 

Bildmaterial vom Schweizer Finale
https://www.dropbox.com/sh/krczxp4967jstt7/AABYx5a1poKKp0ybgMf0vKAUa?dl=0
 
Bildrechte: Swiss Cyber Storm

 

Die Vorrunde der Challenge 2015 – ist beendet!
Wir bedanken uns für die zahlreichen Teilnahmen!

 Fotos der Pressekonferenz vom 4. August 2015. Copyright: Bundesheer/Lechner

 

European Cyber Security Challenge

Neu im Jahr 2014 war die erstmals ausgetragene European Cyber Security Challenge, wo die Besten aus Österreich gegen die Besten aus anderen europäischen Nationalteams antraten. 

Heuer findet die European Cyber Security Challenge erstmals mit sechs teilnehmenden Ländern statt. Neben den Teilnehmern aus Österreich, Schweiz und Deutschland sind heuer auch Teams aus Rumänien, Spanien und
Großbritannien mit dabei.

Weitere Infos auf http://www.europeancybersecuritychallenge.eu/